1. Какой доступ предподчительнее?

[nag-f]

расточительно-с =)

"switchport protected-port fastethernet"

Брендовый коммутатор с пожизненной гарантией на 24 порта поддерживающий этот функционал (и не только, Opt82, dot1x radius-attributes vlan...) стоит в Росии аж! 350$ - аж ~15$ порт... шальные деньги :)

 

Такая команда изолирует порты в одно влане.

Далее агрегация + acl + все что душе угодно на L3 24-48 портовом коммутаторе на группу домов.

Далее 10G ядро. Это самый дешевый вариант построения чего то более-менее приличного в масштабах города.

 

Все остальное - профанация и потенциально-проблемные и не надежные решения.

 

Ах, да забыл - ни в коем случае никакого PPPoE и VPN.. каждому реальный, по возможности статический адрес :) Пропускную способность ограничивать на портах коммутаторов доступа до двойной скорости выбранного тарифа :) А то пропускную способность 10G ядра очень быстро утилизируют :)

Изменено 16 октября, 2009 пользователем nag-f

[Alexandr Ovcharenko]

Все остальное - профанация и потенциально-проблемные и не надежные решения.

Ну вот... Еще один наполеон, считающий себя умнее всех. Несказанно рад за Вас, что Вы нашли единственно возможное идеальное решение!

Трудно, наверное, жить в окружении профанов и недальновидных идиотов?

[nag-f]

Все остальное - профанация и потенциально-проблемные и не надежные решения.

Ну вот... Еще один наполеон, считающий себя умнее всех. Несказанно рад за Вас, что Вы нашли единственно возможное идеальное решение!

Трудно, наверное, жить в окружении профанов и недальновидных идиотов?

Это не мое изобретение - это стандарт. Зачем изобретать велосипед? Все уже изобретено до нас. Если бы это был некий академический и исследовательский форум - я бы еще понял, а так.

Ethernet в первозданном виде мало пригоден для построения сетей доступа, агрегации, ядра в мсштабах города, но он дешев, поэтому что бы использовать его в таких схемах - необходимо было его допилить напильником - от сюда VLAN, port security, ip source guard, Opt82, switchport protected-port fastethernet, RPR, EAPS... и еще масса технологий притягивающих за уши Ethernet использование которого без наличия такого функциоанала - профанация.

 

2vIv К вопросу о нескольких мак адресах на порт - "port security max 1" :)

Изменено 16 октября, 2009 пользователем nag-f

[BudushiyISP]

Я так понимаю в качеств тупых и дешевых рассматриваются только циски ибо они более ли мнее стабильно работают?

[nag-f]

Я так понимаю в качеств тупых и дешевых рассматриваются только циски ибо они более ли мнее стабильно работают?

Ну 24-портовую новую циску за 350$ я не встречал...

[BudushiyISP]

Я так понимаю в качеств тупых и дешевых рассматриваются только циски ибо они более ли мнее стабильно работают?

Ну 24-портовую новую циску за 350$ я не встречал...

А что циски бу всегда есть в наличии ?

[inkelyad]

Это не мое изобретение - это стандарт. Зачем изобретать велосипед? Все уже изобретено до нас. Если бы это был некий академический и исследовательский форум - я бы еще понял, а так.

Ethernet в первозданном виде мало пригоден для построения сетей доступа, агрегации, ядра в мсштабах города, но он дешев, поэтому что бы использовать его в таких схемах - необходимо было его допилить напильником - от сюда VLAN, port security, ip source guard, Opt82, switchport protected-port fastethernet, RPR, EAPS... и еще масса технологий притягивающих за уши Ethernet использование которого без наличия такого функциоанала - профанация.

 

2vIv К вопросу о нескольких мак адресах на порт - "port security max 1" :)

Одна из больших проблема Ethernet-а -- это то, что _все_ битики Ethernet-кадра мы принимаем от абонента. И зависим от его желания/жалания его оборудования. Вместо того чтобы тупо вбить ID абонента прямо в кадр (src MAC для исходящих от абонента ну очень подходит) начинают навешивать сложные VLAN-ы и передачу соответствующей информации протоколом более высокого уровня. ("а на каком это порту/коммутаторе мы этот MAC видели?" передается куда-то в недра системы управления)

[vIv]

2vIv К вопросу о нескольких мак адресах на порт - "port security max 1" :)

Не несколько МАСов на порту, - это-то как-раз пожалуйста-плжалуйста, - а два ОДИНАКОВЫХ на двух разных портах. Некоторые вендоры такие смешные ошибки в драйверах сетевух допускают, - когда обнуляется device-ID. Особенно это вкусно, когда обновление таких весёлых драйверов делает Windows Update.

[Cr_net]

2vIv К вопросу о нескольких мак адресах на порт - "port security max 1" :)

Не несколько МАСов на порту, - это-то как-раз пожалуйста-плжалуйста, - а два ОДИНАКОВЫХ на двух разных портах. Некоторые вендоры такие смешные ошибки в драйверах сетевух допускают, - когда обнуляется device-ID. Особенно это вкусно, когда обновление таких весёлых драйверов делает Windows Update.

а как мак может быть одновременно в двух разных портах, если "port security max 1"

[Nag]

http://forum.nag.ru/forum/index.php?&s...e=show&st=0

результаты опросов на этом форуме хоть и не говорят о сформированном легальном рынке б/у длинка, зато говорят о том, что количество ЕСТЬ.

Это ссылка на опрос популярности. Не понимаю, при чем тут рынок б.у. :-)

Вот для примера - жду предложения на продажу (безнал и с реальной фирмы) на 500 Длинков 3526 баксов по 120.

Или вы говорили для красного словца?

 

Я так понимаю, что в России из легальный рынков б/у есть только циска? Их ведь циска вполне легально перепродает через китайских трейдеров? Так ведь, Павел?

Что за бред? Вы просто не в теме.

В КИТАЕ НЕТ б.у. Сиско. Оттуда некоторые нехорошие люди ввозят НОВЫЕ подделки.

В штатах и европе очень приличный оборот б.у. Сиско, Нортел, 3ком, и т.п. Этим занимаются десятки легальных фирм. И то - по многим железкам рынок очень маленький.

Например, есть прекрасные коммутаторы Экстрим, дешевые в виде б.у... Но, блин, их продается только несколько штук в месяц. И делать на них расчет стоимости проекта - смешно.

 

Даже если и взять в расчет цену свича $300 (а ведь длинк уже давно большие партии продает далеко не по этим ценам, Вы ведь Павел знаете это? ;-) )

Да я в общем и сам Длинк продаю, открытие, да?

И очень хорошо знаю цены. Они далеки от 120-150 баксов.

 

Да и вообще, это похоже на спор что лучше - водка или виски.

Это спор о некорректной базе расчета. Ее нельзя опирать на б.у. Длинк, вот и все. ;-)

 

Я так понимаю в качеств тупых и дешевых рассматриваются только циски ибо они более ли мнее стабильно работают?

Кто это придумал?

Рассматривается любой коммутатор с виланами баксов в 100-120 за 24 порта. Такие есть и новые.

[vIv]

2vIv К вопросу о нескольких мак адресах на порт - "port security max 1" :)

Не несколько МАСов на порту, - это-то как-раз пожалуйста-плжалуйста, - а два ОДИНАКОВЫХ на двух разных портах. Некоторые вендоры такие смешные ошибки в драйверах сетевух допускают, - когда обнуляется device-ID. Особенно это вкусно, когда обновление таких весёлых драйверов делает Windows Update.

а как мак может быть одновременно в двух разных портах, если "port security max 1"

Одного из абонентов (рандомно) вырубим из сети? 8-)

Прекраснейше! =)

[BudushiyISP]

1) Каковы будут ваши действия при наличии проблем у абонента "к" в здании "н" Конечно проблемы могут быть разные. Но давайте рассмотрим такую, ни с того ни с сего сгорел порт ? я предполагаю и в том и другом случае монтажники высылаются и значит разницы нет. Что может быть за проблема которая напрочь даст преимущество умному или "тупому" доступу?

2) И почему Stak сразу рассмотрел 6509 циску, он мог бы как и Alexandr Ovcharenko рассмотреть ядро из 3750 цисек а терминацию оптики на Д-линках, а ставить опять тупые свитчи на доступ с 802.1Ку и тогда вышло бы дешевле. Тем более в схеме предложенной Stak-ом много SVİ в ядре и не нужно?

 

[igoriii]

расточительно-с =)

"switchport protected-port fastethernet"

Брендовый коммутатор с пожизненной гарантией на 24 порта поддерживающий этот функционал (и не только, Opt82, dot1x radius-attributes vlan...) стоит в Росии аж! 350$ - аж ~15$ порт... шальные деньги :)

 

Такая команда изолирует порты в одно влане.

Далее агрегация + acl + все что душе угодно на L3 24-48 портовом коммутаторе на группу домов.

Далее 10G ядро. Это самый дешевый вариант построения чего то более-менее приличного в масштабах города.

 

Все остальное - профанация и потенциально-проблемные и не надежные решения.

 

Ах, да забыл - ни в коем случае никакого PPPoE и VPN.. каждому реальный, по возможности статический адрес :) Пропускную способность ограничивать на портах коммутаторов доступа до двойной скорости выбранного тарифа :) А то пропускную способность 10G ядра очень быстро утилизируют :)

а что плохого в PPPoE, тем более, что сейчас есть 802.1v - прямо на клиентском порту отправляем PPPoE в свой vlan, а на агрегации - selective q-in-q для PPPoE, BRAS на Cisco легко терминирует PPPoE на q-in-q

[Alexandr Ovcharenko]

а что плохого в PPPoE

:) да ничего. Дело ведь не в этом.

Просто есть категория людей, которые руководствуются своими принципами, а всех остальных они "имели в виду" (поэтому и звучат фразы типа "профанация" etc...). Именно такие люди и устраивают холивары.

Идеологам "чистого" ethernet занозой в глазу являются надстройки в виде pppoe/pptp. Обожателям linux мешает жизнь превратить в нирвану факт существования freebsd. Людям, поклоняющимся изделиям "белого" cisco, противно слышать про более дешевые, но при этом более функциональные решения от "желтого" d-link. Ну и т.п.

Для владельца сети важно не то, какая применена технология, ему важны финансовые показатели - доходность/рентабельность/скорость возврата инвестиций. И пусть это будет самая нелепая и извратная технология, но если она позволит повысить доходность и сократить издержки на обслуживание - значит это то, что надо. Так рассуждает тот, кто управляет деньгами. А рассуждения о том, какая технология красивее, уже ведут гики/фанаты/любители.

Вывод. Право на жизнь имеет ЛЮБАЯ технология, если она позволяет создать какое-либо преимущество в конкретных случаях. И вопли "профанация" при этом - просто признак узкости мышления.

[nag-f]

а что плохого в PPPoE

:) да ничего. Дело ведь не в этом.

Просто есть категория людей, которые руководствуются своими принципами, а всех остальных они "имели в виду" (поэтому и звучат фразы типа "профанация" etc...). Именно такие люди и устраивают холивары.

Идеологам "чистого" ethernet занозой в глазу являются надстройки в виде pppoe/pptp. Обожателям linux мешает жизнь превратить в нирвану факт существования freebsd. Людям, поклоняющимся изделиям "белого" cisco, противно слышать про более дешевые, но при этом более функциональные решения от "желтого" d-link. Ну и т.п.

Для владельца сети важно не то, какая применена технология, ему важны финансовые показатели - доходность/рентабельность/скорость возврата инвестиций. И пусть это будет самая нелепая и извратная технология, но если она позволит повысить доходность и сократить издержки на обслуживание - значит это то, что надо. Так рассуждает тот, кто управляет деньгами. А рассуждения о том, какая технология красивее, уже ведут гики/фанаты/любители.

Вывод. Право на жизнь имеет ЛЮБАЯ технология, если она позволяет создать какое-либо преимущество в конкретных случаях. И вопли "профанация" при этом - просто признак узкости мышления.

1 Сколько стоит ваш коммутатор доступа, какая модель?

В своем сообщении я подразумевал Alcatel 6224, стоимость которого в медном исполнении оптом ~300$ за 24 порта.

 

2 Каков смысл в использовании тунелирования? VPN - имеет совсем иные функции от реализации уровня доступа. PPPoE используется на стыке технологий... в случае ADSL его использование оправдано.

 

3 Тут не идет спор о том как надо делать, и как не надо. Есть стандарты, их необходимо предерживаться. Вы же не разрабатываете стандарты канального/физического уровня, транспортные протоколы, какие то уникальные схемы адресации... Вы используете стандартные технологии. Так почему же вы не используете стандартные/рекомендованные схемы построения сетей? И цена вопроса тут не причем. Всегда можно найти оборудовани отвечающее подходящему соотношению цена/качества. Вся проблема в том, что у нас слишком много Кулибиных, которые выросли из коротких штанишек локальных сетей и проповедуют то, что умеют в маштабах города! А мир не стоит на месте, дешевеет "умный доступ", речь вскоре будет идти о безлимитных 100Мбитах/1Гигабите на уровне доступа... будет мило посмотреть на его реализацию в виде PPPoE/VPN

Изменено 17 октября, 2009 пользователем nag-f

[BudushiyISP]

а что плохого в PPPoE

:) да ничего. Дело ведь не в этом.

Просто есть категория людей, которые руководствуются своими принципами, а всех остальных они "имели в виду" (поэтому и звучат фразы типа "профанация" etc...). Именно такие люди и устраивают холивары.

Идеологам "чистого" ethernet занозой в глазу являются надстройки в виде pppoe/pptp. Обожателям linux мешает жизнь превратить в нирвану факт существования freebsd. Людям, поклоняющимся изделиям "белого" cisco, противно слышать про более дешевые, но при этом более функциональные решения от "желтого" d-link. Ну и т.п.

Для владельца сети важно не то, какая применена технология, ему важны финансовые показатели - доходность/рентабельность/скорость возврата инвестиций. И пусть это будет самая нелепая и извратная технология, но если она позволит повысить доходность и сократить издержки на обслуживание - значит это то, что надо. Так рассуждает тот, кто управляет деньгами. А рассуждения о том, какая технология красивее, уже ведут гики/фанаты/любители.

Вывод. Право на жизнь имеет ЛЮБАЯ технология, если она позволяет создать какое-либо преимущество в конкретных случаях. И вопли "профанация" при этом - просто признак узкости мышления.

1 Сколько стоит ваш коммутатор доступа, какая модель?

В своем сообщении я подразумевал Alcatel 6224, стоимость которого в медном исполнении оптом ~300$ за 24 порта.

 

2 Каков смысл в использовании тунелирования? VPN - имеет совсем иные функции от реализации уровня доступа. PPPoE используется на стыке технологий... в случае ADSL его использование оправдано.

 

3 Тут не идет спор о том как надо делать, и как не надо. Есть стандарты, их необходимо предерживаться. Вы же не разрабатываете стандарты канального/физического уровня, транспортные протоколы, какие то уникальные схемы адресации... Вы используете стандартные технологии. Так почему же вы не используете стандартные/рекомендованные схемы построения сетей? И цена вопроса тут не причем. Всегда можно найти оборудовани отвечающее подходящему соотношению цена/качества. Вся проблема в том, что у нас слишком много Кулибиных, которые выросли из коротких штанишек локальных сетей и проповедуют то, что умеют в маштабах города! А мир не стоит на месте, дешевеет "умный доступ", речь вскоре будет идти о безлимитных 100Мбитах/1Гигабите на уровне доступа... будет мило посмотреть на его реализацию в виде PPPoE/VPN

Я к тому и склоняюсь товарищ nag-f, что мир не стоит на месте. Суть не в технологии именно суть деньгах Вы правы господин Alexandr Ovcharenko . К примеру для себя я считаю более оправданным использовать на данном этапе чистый Ethernet без PPPoE ибо передо мной стояла задачи предоставления быстрой локалки. Да с PPPoE это возможно, но цена выходила дороже. Но мы тут обсуждали умный и тупой доступ и в данном вопросе, я немного призадумался и так работает, и сяк работает. Пока разницу не уловил в техническом аспекте недостатков того или другого сценария.

Изменено 17 октября, 2009 пользователем BudushiyISP

[Alexandr Ovcharenko]

1 Сколько стоит ваш коммутатор доступа, какая модель?

В своем сообщении я подразумевал Alcatel 6224, стоимость которого в медном исполнении оптом ~300$ за 24 порта.

D-Link DES-3028 - цена 230$ (официально/легально, Украина) оптом за 24 порта меди + 2 порта совмещенных + 2 порта sfp.

D-Link DES-3526 - цена 270$ (официально/легально, Украина) оптом за 24 порта меди + 2 порта sfp. Я покупаю их б/у по $120-150 до 10 шт в месяц - как повезет (да, Павел прав - сформированного рынка б/у нет).

 

2 Каков смысл в использовании тунелирования? VPN - имеет совсем иные функции от реализации уровня доступа. PPPoE используется на стыке технологий... в случае ADSL его использование оправдано.

Любая схема тунелирования - это ААА. Только в отличие от dot1x, применяемая не на порту доступа, а в точке шлюзования. Преимущество - без авторизации (без поднятия тунеля) доступна вся внутрисеть, даже сосед по подъездному свичу. Жаль, что Вы этого не знали.

 

3 Тут не идет спор о том как надо делать, и как не надо. Есть стандарты, их необходимо предерживаться. Вы же не разрабатываете стандарты канального/физического уровня, транспортные протоколы, какие то уникальные схемы адресации... Вы используете стандартные технологии. Так почему же вы не используете стандартные/рекомендованные схемы построения сетей? И цена вопроса тут не причем. Всегда можно найти оборудовани отвечающее подходящему соотношению цена/качества. Вся проблема в том, что у нас слишком много Кулибиных, которые выросли из коротких штанишек локальных сетей и проповедуют то, что умеют в маштабах города! А мир не стоит на месте, дешевеет "умный доступ", речь вскоре будет идти о безлимитных 100Мбитах/1Гигабите на уровне доступа... будет мило посмотреть на его реализацию в виде PPPoE/VPN

Да, я использую существующие СТАНДАРТЫ! Среди них и pptp/l2tp/pppoe - точно такие же стандарты, как и группа 802.1. И я на этих стандартах строю сети по СТАНДАРТНОЙ схеме с "умным" доступом, а не vlan-per-customer. И, судя по результатам опроса, не я один. Посему не считаю себя ни профаном, ни "кулибиным". Да, я именно "вырос из коротких штанишек локальных сетей и проповедую то, что умею в маштабах города". И доволен этим, ибо это не просто работает - оно приносит прибыль. А города, они знаете ли, не всегда размером с Москву бывают...

К вопросу о 100М на доступе. На Украине уже есть ряд операторов, которые дают населению безлимиты на скорости порта доступа. Вот скажем - Билайн. Используют в своих сетях (11 крупнейших городов страны, всего подключено около 80тыс абонентов) доступ через pptp/l2tp. Судя по маске сети, которая назначается dhcp при включении в локалку, vlan-per-customer не используют. Возмем другого оператора - Триолан. Тунели не используют, доступ в локалку == доступ в инет, скорость режут на порту доступа (они режут аплоад абоненту). При этом, опять же, судя по маске сети, которая назначается dhcp при включении в локалку, vlan-per-customer не используют. Оба оператора ставят в подъезды свичи 3526/3028.

Да и вообще, если в сети стоит "умное" железо на доступе, все адреса раздаются абоненту автоматом через dhcp, то какая проблема в любой момент перестроить структуру на vlan-per-что-угодно, и например отказаться от тунелей? Это называется "профанацией", недальновидностью, тупиковым решением? ИМХО, как раз наоборот, "умный" доступ - это гораздо больше возможностей и гибкости в управлении сетями. Что легче апгрейдить при росте сети - доступ, или ядро/агрегацию? Это и есть построение сети "на вырост".

[vadimus]

Я так понимаю, топикастер хочет сделать подешевле, но чтобы работало. Тогда его выбор - тупой доступ, причем если делать PPPoE, то на доступ можно даже мыльницы ставить, если есть возможность - с изоляцией портов. Несложно подсчитать, что денег, сыкономленных на коммутаторах, хватит чтобы поставить достаточное количество PPPoE концентраторов (если на IBM PC). Это самый дешевый работоспособный вариант, как мне думается, у меня работает =)

[skor78]

Судя по маске сети, которая назначается dhcp при включении в локалку, vlan-per-customer не используют.

Не уловил сакральную связь маски сети с наличием влана. Можно подробнее?

 

[Kaban]

Как по мне, то pppoe имеет неоспоримый плюс что за счет централизации, позволяет более полно утилизировать доступные публичные ip адреса, но основной его минус что после переустановки системы у большинства юзеров блондинок-домохозяек (которых в домонетах обычно большинство) начинаются проблемы, т.к. надо еще создавать дополнительное соединение и помнить свой логин и пароль.

[skor78]

Как по мне, то pppoe имеет неоспоримый плюс что за счет централизации,

спорный плюс

позволяет более полно утилизировать доступные публичные ip адреса,

ip unnumbered/Super VLAN тоже самое делают

[vadimus]

Как по мне, то pppoe имеет неоспоримый плюс что за счет централизации, позволяет более полно утилизировать доступные публичные ip адреса, но основной его минус что после переустановки системы у большинства юзеров блондинок-домохозяек (которых в домонетах обычно большинство) начинаются проблемы, т.к. надо еще создавать дополнительное соединение и помнить свой логин и пароль.

Ну это как бы и единственный минус, в чём смех то, а обычно минусом называют невозможность запуска локалки через PPPoE, тогда как это вполне возможно. А для борьбы с вышеуказанной проблемой при подключении нужно раздавать диски/флешки с автокофигуратором PPPoE, логин/пароль в договоре прописывать.

 

ip unnumbered/Super VLAN тоже самое делают

Даже лучше - не надо никаких туннелей, логинов и паролей - но за другие, совсем другие деньги.

[Alexandr Ovcharenko]

Судя по маске сети, которая назначается dhcp при включении в локалку, vlan-per-customer не используют.

Не уловил сакральную связь маски сети с наличием влана. Можно подробнее?

Если абонент по dhcp получает адрес 10.20.1.102 с маской сети 255.255.255.128 и шлюзом 10.20.1.1 и при этом по arp видит всех остальных юзеров в сети 10.20.1.0/25 - это говорит, что на каждого юзера в сети выделен отдельный влан с ip-unnumbered? ИМХО, это все таки на vlan-per-house более смахивает.

[voron]

Из маски не следует реальная видимость остальных юзеров напрямую.

[nag-f]

К вопросу о 100М на доступе. На Украине уже есть ряд операторов, которые дают населению безлимиты на скорости порта доступа. Вот скажем - Билайн. Используют в своих сетях (11 крупнейших городов страны, всего подключено около 80тыс абонентов) доступ через pptp/l2tp. Судя по маске сети, которая назначается dhcp при включении в локалку, vlan-per-customer не используют. Возмем другого оператора - Триолан. Тунели не используют, доступ в локалку == доступ в инет, скорость режут на порту доступа (они режут аплоад абоненту). При этом, опять же, судя по маске сети, которая назначается dhcp при включении в локалку, vlan-per-customer не используют. Оба оператора ставят в подъезды свичи 3526/3028.

Если Интернет 100Мбит, каков смысл во внутрненнем диапазоне адресов, двух планах адресации, двух схемах маршратизации, брасах, логине/пароле, создании подключения на стороне пользователя....?!

 

В этом свете доступ у Триолана более адекватные - каждому реальный, насколько я понимаю статический привязанный к порту адрес. Ребята просто получили 109.86.0.0/15 блок и решили все вопросы! А тунелирование - это бесполезная нагрузка на ОС пользователя и overhead. Я еще могу понять тунелирование VPN когда необходимо шифровать траффик, но ведь шифрование у вас на брасах отключено иначе - не хватит производительности... Я могу понять Тунелирование - когда на двух пользователей один порт. Я могу понять тунелирование на стыке технологий ADSL/Ethernet... Но в carrier ethernet на уровне доступа тунелирование - это нонсенс.

Изменено 18 октября, 2009 пользователем nag-f